یک باگ امنیتی در سایت‌های ووردپرس وجود دارد که باعث نشت اطلاعات حساس می‌شود

به گزارش کارگروه امنیت سایبربان؛ افزونه ووردپرس WordPress که در صدها هزار سایت نصب‌شده است، به هرکسی امکان می‌دهد بدون نیاز به لاگین کردن، اطلاعات پایگاه داده‌ها را جستجو کند.

افزونه WP Statistics که در بیش از 600 هزار وب‌سایت ووردپرس نصب‌شده است، دارای یک آسیب‌پذیری امنیتی تزریق SQL است که می‌تواند به بازدیدکنندگان سایت اجازه دهد به انواع اطلاعات حساس پایگاه‌های وب، ازجمله ایمیل‌ها، داده‌های کارت اعتباری، رمزهای عبور و غیره دسترسی داشته باشند.

همان‌طور که از نام آن پیداست، WP Statistics افزونه‌ای است که به صاحبان سایت تجزیه‌وتحلیل ارائه می‌دهد، ازجمله تعداد افرادی که از سایت بازدید می‌کنند، اهل کجا هستند، از کدام مرورگرها و موتورهای جستجو استفاده می‌کنند و کدام صفحات، دسته‌ها و برچسب‌ها بیشترین بازدید را دارند. همچنین این افزونه اطلاعات پاک‌شده در خصوص آدرس آی‌پی‌ها، سایت‌های ارجاع دهنده، جزئیات شهر و کشور بازدیدکنندگان را به‌صورت نمودار و تصویر ارائه می‌دهد.

بخش صفحات Pages سایت‌های ووردپرس به مدیران اجازه می‌دهد ببینند کدام صفحات بیشترین بازدید را داشته‌اند. محققان شرکت Wordfence یک آسیب‌پذیری سطح بالا (با شماره CVE-2021-24340 و رتبه‌بندی 7.5 از 10 در مقیاس CVSS) را در بخش صفحات این سایت‌ها پیداکرده است. این بخش داده‌ها را با استفاده از درخواست‌های SQL به یک پایگاه داده برمی‌گرداند؛ اما مشخص شد که هکرها می‌توانند عملکرد این بخش را به دست گرفته و با ارائه درخواست‌های خود اطلاعات حساس را به سرقت ببرند.

محققان شرکت Wordfence اعلام کردند، درحالی‌که بخش صفحات فقط برای سرپرستان در نظر گرفته‌شده بود و اطلاعاتی را برای کاربران غیر سرپرست نمایش نمی‌داد اما می‌توان با ارسال درخواست به wp-admin / admin.php بارگذاری سازنده این صفحه را با پارامتر صفحه تنظیم‌شده به wps_pages_page شروع کرد. ازآنجاکه درخواست SQL در قسمت صفحات Pages اجرا می‌شود، این بدان معنی است که هر فرد بازدیدکننده سایت حتی افراد لاگین نکرده می‌توانند باعث اجرای این درخواست SQL شوند. درنتیجه یک هکر می‌تواند مقادیر مخربی را در قسمت‌های شناسه یا نوع به دست آورد.

طبق گفته محققان شرکت Wordfence، این آسیب‌پذیری خاص یک تزریق کور SQL مبتنی بر زمان است. این روش شامل ارسال درخواست به پایگاه داده‌هایی است که محتوای جدول پایگاه داده را حدس می‌زند و به پایگاه داده دستور می‌دهد در صورت درست بودن حدس، پاسخ را به تأخیر بی اندازد یا به حالت خواب برود.

به‌عنوان‌مثال، یک هکر می‌تواند از پایگاه داده سؤال کند که آیا اولین حرف آدرس ایمیل مدیر با حرف A شروع می‌شود یا نه و به آن دستور دهد که در صورت صحیح بودن حدس، پنج ثانیه پاسخ را به تأخیر بیندازد.

محققان شرکت Wordfence می‌گویند، سرقت اطلاعات فرآیندی نسبتاً کند خواهد بود و استفاده از آن برای استخراج اطلاعات انبوه غیرممکن خواهد بود؛ اما اطلاعات باارزش بالا مانند ایمیل‌های کاربر، گذرواژه و کلیدهای رمزگذاری با استفاده از ابزارهای خودکار مانند sqlmap قابل‌استخراج هستند. در یک حمله هدفمند، می‌توان از این آسیب‌پذیری برای استخراج اطلاعات شخصی مشتریان سایت‌های استفاده کرد. این موضوع اهمیت وجود حفاظت‌های امنیتی مانند فایروال نقطه پایانی را نشان می‌دهد آن‌هم درجاهایی که داده‌های حساس ذخیره می‌شوند.

محققان افزودند، تنها روش قابل‌اطمینان برای جلوگیری از تزریق SQL تهیه کلیه دستورات SQL قبل از اجرای آن‌ها است. دستورات آماده‌شده هر پارامتر درخواست را جدا می‌کنند تا یک هکر نتواند کل دامنه داده‌های برگشتی را ببیند.

محققان در توضیحات خود گفتند، متأسفانه درحالی‌که درخواست SQL برای فرار از شناسه و تایپ پارامترهای ورودی از esc_sql استفاده کرده؛ اما از گزاره‌ای آماده استفاده نکرده است. ازآنجاکه پارامترهای ورودی ID نقل‌قول نشده بودند، بنابراین دورزن بخش esc_sql و ایجاد درخواست‌هایی که می‌توانست منجر به استخراج اطلاعات حساس سایت‌ها شود، اهمیت چندانی نداشت.

شرکت ورونا VeronaLabs توسعه‌دهنده این افزونه، پچی را با نسخه 13.0.8 منتشر کرده است که مدیران سایت باید در اسرع وقت به‌روزرسانی جدید را اعمال کنند.